iOS 13.3 ve iPadOS 13.3'ün güvenlik içeriği hakkında

Bu belgede iOS 13.3 ve iPadOS 13.3'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

iOS 13.3 ve iPadOS 13.3

Yayınlanma tarihi: 10 Aralık 2019

CallKit

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Siri üzerinden gerçekleştirilen aramalar, aktif iki planı bulunan aygıtlarda yanlış hücresel plan kullanılarak başlatılabilir

Açıklama: Siri ile başlatılan giden aramaların işlenmesiyle ilgili bir API sorunu vardı. Durumun işlenmesi iyileştirilerek bu sorun giderildi.

CVE-2019-8856: TERRANCLE SARL'dan Fabrice TERRANCLE

CFNetwork Proxy'ler

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2019-8848: Qihoo 360 Vulcan Team'den Zhuo Liang

FaceTime

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: FaceTime'da kötü amaçlı bir videonun işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2019-8830: Google Project Zero'dan Natalie Silvanovich

IOSurfaceAccelerator

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Savunmasız kod kaldırılarak, bilgilerin açığa çıkması sorunu giderildi.

CVE-2019-8841: Corellium

IOUSBDeviceFamily

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8836: Alibaba Inc. şirketinden Xiaolong Bai ve Min (Spark) Zheng, Bloomington Indiana Üniversitesinden Luyi Xing

Çekirdek

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Savunmasız kod kaldırılarak bir bellek bozulması sorunu giderildi.

CVE-2019-8833: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8828: Cognite'tan Cim Stordal

CVE-2019-8838: InfoSect'ten Dr. Silvio Cesare

libexpat

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçlarla oluşturulmuş XML dosyasının ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: expat 2.2.8 sürümüne güncelleme yapılarak bu sorun giderildi.

CVE-2019-15903: Joonun Jang

Fotoğraflar

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Paylaşma Sayfası dönen seçim kutusunda Live Photo özelliği etkisizleştirilmişse bile Live Photo ses ve video verileri iCloud bağlantıları üzerinden paylaşılabilir

Açıklama: iCloud Bağlantısı oluşturulurken yapılan doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2019-8857: Tor Bruce

Güvenlik

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8832: Georgia Tech'teki SSLab'den Insu Yun

WebKit

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2019-8835: Anonim bir kişi (Trend Micro'nun Zero Day Initiative programıyla), Pangu Ekibi'nden Mike Zhang

CVE-2019-8844: William Bowling (@wcbowling)

WebKit

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2019-8846: Cisco Talos'tan Marcin Towalski

Ek teşekkür listesi

Hesaplar

Loughborough Üniversitesinden Kishan Bagaria'ya (KishanBagaria.com) ve Tom Snelling'e yardımları için teşekkür ederiz.

Core Data

Google Project Zero'dan Natalie Silvanovich'e yardımı için teşekkür ederiz.

Ayarlar

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: